Kişisel Verilerin İzinsiz Paylaşılması Halinde Tazminat Sorumluluğu

Dijitalleşmenin hayatın her alanına girdiği günümüzde kişisel veriler, artık en kıymetli varlıklardan biri olarak kabul edilmektedir. Kimlik bilgileri, iletişim verileri, sağlık raporları, finansal kayıtlar ve hatta sosyal medya hesaplarımızdaki paylaşımlar bile kişisel veri kapsamına girer. Bu verilerin izinsiz şekilde üçüncü kişilerle paylaşılması veya kamuya açıklanması hem hukuki hem de maddi sonuçlar doğurur. Türkiye’de kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altına alınmıştır. Ancak kanunun yürürlüğe girmesine rağmen, kişisel verilerin izinsiz ifşa edilmesi sıkça karşılaşılan bir ihlal türü olmaya devam etmektedir.

İzinsiz veri paylaşımı, kişilik haklarını doğrudan etkileyen bir durumdur. KVKK, kişisel verilerin işlenmesini ancak belirli şartlar altında ve ilgili kişinin açık rızasıyla mümkün kılar. Açık rıza, bilgilendirmeye dayalı ve özgür iradeyle verilen onaydır. Bu şart sağlanmadan yapılan her türlü veri işleme faaliyeti, hukuka aykırıdır ve veri sorumlusu veya veri işleyen açısından tazminat sorumluluğu doğurur. Kişisel verilerin korunmasına ilişkin ihlaller, çoğu zaman yalnızca bir mahremiyet sorunu olarak görülür; oysa bu ihlaller kişinin maddi zararına, iş yaşamında itibar kaybına ve sosyal çevresinde olumsuz algıya neden olabilir.

KVKK Kapsamında Tazminat Hakkı

KVKK’nın 17. maddesi, kişisel verileri izinsiz işlenen ya da paylaşılan bireylere genel hükümlere göre tazminat davası açma hakkı tanımaktadır. Burada tazminatın amacı, mağdurun uğradığı zararı telafi etmektir. Zarar hem maddi hem de manevi olabilir. Maddi zarar, kişinin gelir kaybı, işten çıkarılması veya ticari itibarı zedelenerek uğradığı ekonomik kayıpları kapsar. Manevi zarar ise kişinin yaşadığı üzüntü, mahcubiyet, psikolojik rahatsızlık veya toplum içinde itibarının sarsılması gibi maddi olmayan kayıpları ifade eder. Özellikle sosyal medyada izinsiz fotoğraf veya özel bilgi paylaşımı, mağdur açısından manevi tazminat davasının başlıca nedenlerinden biridir.

Tazminat sorumluluğunun doğması için öncelikle bir ihlalin varlığı, yani kişisel verilerin izinsiz bir şekilde paylaşılması gerekir. Bu paylaşımı yapan kişi veya kurum, “veri sorumlusu” veya “veri işleyen” sıfatına sahip olabilir. Örneğin bir şirketin müşteri bilgilerini yetkisiz olarak pazarlama firmalarına aktarması veya bir çalışanının müşterilerin telefon numaralarını kişisel amaçlarla paylaşması, doğrudan ihlal niteliği taşır. Bu tür durumlarda veri sorumlusu sıfatıyla şirket, hem idari para cezalarına maruz kalabilir hem de mağdur tarafından açılacak tazminat davasında sorumlu tutulabilir.

Tazminatın Hukuki Dayanakları

Kişisel verilerin izinsiz paylaşılması, sadece KVKK kapsamında değil, Türk Borçlar Kanunu’ndaki (TBK) genel haksız fiil hükümleri çerçevesinde de tazminat talebine konu olabilir. TBK m.58, kişilik hakları ihlallerinde manevi tazminat isteme hakkını düzenler. Kişilik haklarının unsurları arasında özel hayatın gizliliği, ad ve fotoğraf üzerindeki haklar ve kişisel verilerin korunması da yer aldığından, KVKK ihlalleri aynı zamanda bir kişilik hakkı ihlali olarak da değerlendirilir. Bu nedenle mağdurlar, KVKK’ya dayanarak idari süreç başlatabileceği gibi, TBK hükümlerine dayanarak maddi ve manevi tazminat davası da açabilir.

Örnek Olay Üzerinden Değerlendirme

Gerçek hayattan alınmış kurgusal bir örnek üzerinden konuyu somutlaştıralım: Ayşe Hanım, bir özel hastanede tedavi gördüğü rahatsızlıklarla ilgili tüm bilgilerini sisteme kaydettirdi. Ancak bir süre sonra bu sağlık verilerinin bir sigorta şirketi tarafından pazarlama amacıyla kendisine iletilen tekliflerde kullanıldığını fark etti. Yapılan araştırmada hastane çalışanlarından birinin, sağlık verilerini yetkisiz şekilde sigorta şirketine sattığı anlaşıldı. Bu durum, KVKK’nın ihlali anlamına gelmektedir. Ayşe Hanım, hem KVKK Kurulu’na şikâyet başvurusu yaparak idari süreç başlatabilir hem de Asliye Hukuk Mahkemesi’nde maddi ve manevi tazminat davası açabilir. Böyle bir durumda mahkeme, Ayşe Hanım’ın uğradığı manevi sarsıntıyı ve yaşadığı özel hayat ihlalini dikkate alarak manevi tazminata hükmedebilir. Aynı zamanda, kişisel sağlık verilerinin üçüncü kişilere aktarılması sonucu doğan ekonomik zararın telafisi için maddi tazminat kararı da çıkabilir.

Tazminat Davasında Dikkat Edilecek Hususlar

Kişisel veri ihlali nedeniyle tazminat talep etmek isteyen kişiler için bazı hususlar oldukça önemlidir. Öncelikle veri ihlali somut olarak belgelenmelidir. Sosyal medya üzerinden yapılan paylaşımlar, mesajlaşma kayıtları, e-posta gönderileri veya log kayıtları bu tür delillere örnektir. Noter onaylı ekran görüntüleri, dava dosyalarında güçlü delil olarak kullanılabilir. Ayrıca ihlalin boyutu, yaygınlığı ve mağdurun gördüğü zarar tazminat miktarını belirleyen faktörler arasında yer alır. Örneğin, kişinin finansal verilerinin ifşa edilmesi, hem maddi hem manevi zararı artıran bir unsurdur.

Kurumsal Sorumluluk ve KVKK Önlemleri

Şirketler açısından bakıldığında, KVKK’ya uyum sağlamamak sadece tazminat riski doğurmakla kalmaz, aynı zamanda yüksek idari para cezalarına neden olur. Bu nedenle şirketlerin, veri koruma politikalarını ve siber güvenlik önlemlerini güncel tutması, çalışanlarına veri gizliliği eğitimi vermesi ve açık rıza süreçlerini eksiksiz uygulaması gerekir. Bir şirket, çalışanının izinsiz veri paylaşımı nedeniyle sorumlu tutulduğunda, mağdurun açacağı tazminat davaları şirketin mali yapısını ciddi şekilde sarsabilir.

Sosyal Medyada Kişisel Veri İhlali

Günümüzde veri ihlallerinin en sık yaşandığı alanlardan biri de sosyal medya platformlarıdır. Sosyal medya kullanıcılarının fotoğrafları, konum bilgileri veya özel hayatlarına ilişkin detayları izinsiz şekilde yayımlanabilmektedir. Özellikle sosyal medya fenomenleri veya kamuya mal olmuş kişiler açısından, bu tür paylaşımlar büyük bir itibar kaybına ve psikolojik zarara yol açmaktadır. KVKK kapsamında, sosyal medya paylaşımlarında da açık rıza olmaksızın kişisel veri paylaşımı hukuka aykırı kabul edilir. Bu tür ihlallerde paylaşımı yapan kişi doğrudan sorumlu olurken, platformların da içerik kaldırma yükümlülüğü gündeme gelebilir.

Manevi Tazminatın Önemi

Kişisel veri ihlallerinde en sık talep edilen tazminat türü manevi tazminattır. Çünkü bu tür ihlaller çoğu zaman kişinin manevi bütünlüğüne, özel hayatına ve saygınlığına zarar verir. Manevi tazminat miktarı belirlenirken ihlalin yaygınlığı, paylaşılan verinin niteliği ve mağdurun psikolojik durumu dikkate alınır. Örneğin sağlık verileri veya finansal bilgiler gibi özel nitelikli kişisel verilerin ifşa edilmesi, daha yüksek tazminatlara konu olabilir.

Sonuç

Kişisel verilerin izinsiz paylaşılması, modern hukuk sistemlerinde ciddi bir ihlal olarak kabul edilir. KVKK, kişisel verilerin korunması ve izinsiz ifşa edilmesi durumunda mağdura tazminat hakkı tanıyarak önemli bir güvence sağlamaktadır. Ancak bu hakların etkin bir şekilde kullanılabilmesi için hem bireylerin hem de şirketlerin veri güvenliği konusunda bilinçli olması gerekir. Mağdurlar açısından, izinsiz veri paylaşımı durumunda öncelikle delillerin toplanması, KVKK Kurulu’na şikâyet başvurusu yapılması ve sonrasında maddi veya manevi tazminat davası açılması en doğru yol olacaktır. Bu süreçlerde uzman bir avukatın hukuki destek sağlaması, hakların etkin korunması açısından kritik önem taşır.